NTFS文件系統(tǒng)扇區(qū)存儲探秘

內(nèi)容概要

　　《NTFS文件系統(tǒng)扇區(qū)存儲探秘》主要內(nèi)容包括：介紹NTFS文件系統(tǒng)優(yōu)越的性能特征；介紹作者為了探索NTFS文件系統(tǒng)的存儲特點編寫的21個WIN32工具程序；使用作者編寫的WIN32工具程序，探秘NTFS文件系統(tǒng)的扇區(qū)存儲規(guī)律。　　全書分3篇，共計17章。第1章至第3章是“基礎(chǔ)篇”，重點介紹了NTFS文件系統(tǒng)的性能和存儲特點，同時也輔助性地介紹了FAT16和FAT32兩種文件系統(tǒng)；第4章至第5章是“工具篇”，介紹了作者編寫的工具程序；第6章至第17章是“探秘篇”，使用工具程序?qū)TFS文件系統(tǒng)的扇區(qū)存儲規(guī)律進行了探索?！　　禢TFS文件系統(tǒng)扇區(qū)存儲探秘》附送的光盤里收錄了書中使用的全部工具程序，讀者可以使用這些工具程序?qū)τ脖P扇區(qū)數(shù)據(jù)進行各種讀寫與分析?！　　禢TFS文件系統(tǒng)扇區(qū)存儲探秘》可作為從事數(shù)據(jù)恢復(fù)和硬盤維修的技術(shù)人員參考用書，也可供研究文件系統(tǒng)和進行扇區(qū)數(shù)據(jù)分析的愛好者參考使用。

作者簡介

宋群生，早在1998年即從事數(shù)據(jù)恢復(fù)研究，是國內(nèi)計算機數(shù)據(jù)恢復(fù)界最早的開拓者之一，經(jīng)過十幾年的研究，作者成功開發(fā)了多套FAT16、FAT32、NTFS文件恢復(fù)程序。2004年，作者率先在國內(nèi)開創(chuàng)了遠程數(shù)據(jù)恢復(fù)，并于當年4月出版了《硬盤扇區(qū)讀寫技術(shù)——修復(fù)硬盤與恢復(fù)文件》一書。

書籍目錄

基礎(chǔ)篇 第1章 FAT文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu) 1.1 主引導(dǎo)記錄 1.2 主分區(qū)表 1.3 分區(qū)引導(dǎo)記錄 1.3.1 FAT16文件系統(tǒng)的BPB表 1.3.2 FAT32文件系統(tǒng)的BPB表 1.4 文件分配表FAT 1.4.1 扇區(qū)分簇管理 1.4.2 簇鏈和文件檢索過程 1.4.3 FAT表扇區(qū)尋址 1.5 文件目錄表FDT 1.6 數(shù)據(jù)區(qū)DATA 第2章 FAT文件系統(tǒng)的扇區(qū)分配 2.1 FAT16的扇區(qū)分配 2.2 FAT16扇區(qū)尋址實例分析 2.3 FAT32的扇區(qū)分配 2.4 FAT32扇區(qū)尋址實例分析 第3章 NTFS文件系統(tǒng) 3.1 NTFS的磁盤管理功能 3.2 NTFS的Unicode編碼格式 3.3 NTFS的扇區(qū)分配 3.4 NTFS的系統(tǒng)引導(dǎo)特性 3.5 NTFS的文件表結(jié)構(gòu) 3.6 NTFS的文件存儲特性 3.6.1 NTFS的駐留屬性 3.6.2 NTFS的非駐留屬性 3.7 NTFS的數(shù)據(jù)壓縮特性 3.8 NTFS的EFS加密特性 3.9 小結(jié) 工具篇 第4章 WIN32程序 4.1 讀硬盤扇區(qū)數(shù)據(jù)程序 4.2 寫硬盤扇區(qū)數(shù)據(jù)程序 4.3 監(jiān)視0磁道變化程序 4.4 查看硬盤扇區(qū)數(shù)據(jù)程序 4.5 連續(xù)扇區(qū)清零程序 4.6 查找硬盤扇區(qū)特征程序 4.6.1 NTFS文件系統(tǒng)扇區(qū)特征介紹 4.6.2 工具程序的使用方法 4.7 查找漢字文件名程序 4.8 讀扇區(qū)拷貝文件程序 4.9 剪切文件程序 4.10 備份系統(tǒng)扇區(qū)數(shù)據(jù)程序 4.11 查看扇區(qū)文件數(shù)據(jù)程序 4.12 文件字節(jié)比較程序 4.13 修改扇區(qū)文件數(shù)據(jù)程序 4.14 數(shù)制轉(zhuǎn)換程序 4.15 監(jiān)測扇區(qū)數(shù)據(jù)變化程序 4.16 即時修改扇區(qū)數(shù)據(jù)程序 4.17 拷貝文件數(shù)據(jù)塊程序 4.18 查找扇區(qū)字段值程序 4.19 寫隱藏文件數(shù)據(jù)程序 4.20 備份寬字符文件名程序 4.21 提取文件扇區(qū)數(shù)據(jù)程序 第5章 16位程序 5.1 讀扇區(qū)文件程序READSF.EXE 5.2 修改文件字節(jié)值程序SEDIT.EXE 5.3 文件塊拷貝程序SBLOCK.EXE 5.4 剪切文件程序CUTFILE.EXE 5.5 文件字節(jié)比較程序COMPSF.EXE 探秘篇 第6章 改變NTFS邏輯盤的ID屬性 第7章 查找每簇扇區(qū)數(shù)的字段記錄 第8章 查找標記MFT地址的字段記錄 第9章 查找標記MFT鏡像地址的字段記錄 第10章 讀物理硬盤恢復(fù)一個run的文件數(shù)據(jù) 10.1 實驗演示前的準備工作 10.2 查找MFT文件表 10.3 查找并計算MFT表中的字段記錄 10.4 讀硬盤物理扇區(qū)恢復(fù)文件數(shù)據(jù) 第11章 讀物理硬盤恢復(fù)多個run的文件數(shù)據(jù) 11.1 查找第1個run 11.2 查找第2個run 11.3 查找第3個run 11.4 讀取硬盤物理扇區(qū)恢復(fù)文件數(shù)據(jù) 第12章 讀物理硬盤恢復(fù)誤刪除文件 第13章 讀物理硬盤恢復(fù)格式化邏輯盤文件 第14章 修改Bitmap扇區(qū)實現(xiàn)文件隱藏 14.1 隱藏文件前的準備工作 14.1.1 將邏輯盤的扇區(qū)清零 14.1.2 格式化邏輯盤 14.2 隱藏文件的可行性試驗 14.2.1 查找位圖文件的MFT記錄 14.2.2 確定位圖文件數(shù)據(jù)區(qū)地址 14.2.3 修改位圖文件的扇區(qū)數(shù)據(jù) 14.2.4 文件系統(tǒng)對修改數(shù)據(jù)的反應(yīng) 14.3 位圖與扇區(qū)地址的對應(yīng)關(guān)系 14.3.1 提取位圖文件數(shù)據(jù)區(qū)的扇區(qū)特征 14.3.2 確定試驗文件數(shù)據(jù)的存儲地址 14.3.3 查找位圖數(shù)據(jù)被修改的字節(jié)位 14.3.4 推導(dǎo)通用的計算公式 14.4 隱藏文件實例演示 第15章 恢復(fù)EFS加密文件 15.1 準備實驗用的文件和數(shù)據(jù) 15.1.1 查找文件的MFT記錄 15.1.2 分析MFT記錄的字段值 15.2 觀察EFS加密后的數(shù)據(jù)變化 15.2.1 對文件進行EFS加密 15.2.2 比較加密前后的MFT記錄 15.3 讀物理扇區(qū)備份密文數(shù)據(jù)和FEK記錄 15.3.1 備份密文數(shù)據(jù) 15.3.2 備份FEK密鑰記錄 15.4 導(dǎo)出用戶對FEK進行加密的私鑰 15.4.1 在IE瀏覽器中導(dǎo)出 15.4.2 在控制面板中導(dǎo)出 15.5 移植密文數(shù)據(jù)和FEK到另一塊硬盤 15.5.1 復(fù)制密文數(shù)據(jù)文件并查找MFT 15.5.2 移植FEK密鑰 15.6 移植MFT記錄讓系統(tǒng)承認加密文件 15.7 導(dǎo)入原用戶的EFS加密私鑰 15.8 實際操作中的幾個系統(tǒng)數(shù)據(jù)問題 15.8.1 每簇包含的扇區(qū)數(shù) 15.8.2 邏輯盤的起始扇區(qū)號 15.8.3 如何取得文件全名 15.8.4 如何取得含有漢字的文件名 第16章 解讀壓縮文件MFT的數(shù)據(jù)屬性 16.1 設(shè)置演示操作的磁盤環(huán)境 16.2 確定位圖文件數(shù)據(jù)存儲地址 16.2.1 查找位圖文件的MFT記錄 16.2.2 確定位圖文件數(shù)據(jù)區(qū)地址 16.3 設(shè)置演示操作的文件實例 16.3.1 查找實驗文件的MFT記錄 16.3.2 備份位圖文件的扇區(qū)存儲現(xiàn)場 16.4 保存位圖文件數(shù)據(jù)的扇區(qū)特征 16.5 壓縮文件并備份MFT記錄 16.6 檢測并備份壓縮后的位圖扇區(qū)數(shù)據(jù) 16.7 備份壓縮后變化的位圖扇區(qū)數(shù)據(jù) 16.8 提取壓縮前的位圖扇區(qū)數(shù)據(jù) 16.9 解讀壓縮文件的MFT數(shù)據(jù)屬性 16.9.1 數(shù)據(jù)壓縮前后在存儲地址上的變化情況 16.9.2 計算系統(tǒng)分配給壓縮數(shù)據(jù)的邏輯簇號 16.10 讀扇區(qū)備份壓縮文件數(shù)據(jù) 第17章 移植壓縮數(shù)據(jù)恢復(fù)壓縮文件 17.1 制造模板文件 17.2 查找模板文件壓縮后的MFT記錄 17.3 計算數(shù)據(jù)屬性中的扇區(qū)地址 17.4 寫入壓縮數(shù)據(jù)

章節(jié)摘錄

版權(quán)頁：   插圖：   4.6查找硬盤扇區(qū)特征程序 在探索文件系統(tǒng)在物理硬盤上的扇區(qū)存儲規(guī)律時，一般不能依賴被操作硬盤上的操作系統(tǒng)與文件系統(tǒng)。否則的話，就會受到操作系統(tǒng)的權(quán)限限制和文件系統(tǒng)的保護限制。那么不依賴操作系統(tǒng)與文件系統(tǒng)，如何找到硬盤上的文件，或是系統(tǒng)在某些扇區(qū)中的字段記錄呢？ 作者使用了一種逆向分析的方法，該方法的大致過程如下。先使用工具程序在硬盤上找到具有文件特征的扇區(qū)號，然后根據(jù)扇區(qū)號算出計算扇區(qū)地址的方法，進而再去探索系統(tǒng)存儲的字段規(guī)律和文件數(shù)據(jù)的存儲地址。這種方法運用的詳細情況在《探秘篇》中再作介紹。在實際操作中要使用這種分析方法，查找扇區(qū)特征就是至關(guān)重要的一步。 本節(jié)介紹的工具程序，能夠查找5種類型的扇區(qū)特征，如下。 （1）系統(tǒng)引導(dǎo)扇區(qū)的特征—BOOT扇區(qū)。 （2） MS—DOS使用的8.3格式的文件名—DOS文件名。 （3） NTFS文件系統(tǒng)使用的文件名——長文件名。 （4）文件存儲在數(shù)據(jù)區(qū)中的文本內(nèi)容——扇區(qū)字符串。 （5）文件名使用漢字時的一漢字文件名。 4.6.1NTFS文件系統(tǒng)扇區(qū)特征介紹 NTFS文件系統(tǒng)使用了“磁盤上的任何事物都為文件”的存儲模式，因此要想探索NTFS文件系統(tǒng)的扇區(qū)存儲規(guī)律，就必須對NTFS在存儲文件時的扇區(qū)特征有所了解。下面分別講解本節(jié)工具程序所能查找的NTFS文件系統(tǒng)的5種扇區(qū)存儲特征。 1.BOOT扇區(qū) 本節(jié)所說的“BOOT扇區(qū)”，指的是存儲系統(tǒng)引導(dǎo)數(shù)據(jù)的扇區(qū)。既然是針對物理硬盤進行扇區(qū)讀寫，那為什么還需要查找“BOOT扇區(qū)”呢？原因主要有兩個方面。 在NTFS文件系統(tǒng)中，所有在扇區(qū)中存儲的有關(guān)扇區(qū)地址的字段記錄，都是以簇為單位計算的。也就是說，NTFS文件系統(tǒng)只用簇來標識磁盤地址，而不用扇區(qū)進行標識。 可是在使用物理硬盤扇區(qū)讀寫技術(shù)對磁盤進行操作時，是使用線性尋址所定義的扇區(qū)編號，作為對硬盤扇區(qū)進行尋址的依據(jù)。這就要求操作者必須進行兩種數(shù)據(jù)間的換算，要將NTFS記錄在扇區(qū)中的簇號標識字段值，換算成線性尋址的扇區(qū)號。 要進行這種換算，必須知道每個簇中有多少個扇區(qū)。而記錄每簇扇區(qū)數(shù)的字段，就存儲在BOOT扇區(qū)中，這是查找BOOT扇區(qū)的原因之一。 在將簇號轉(zhuǎn)換成扇區(qū)號以后，還必須知道是從哪一個扇區(qū)開始計算扇區(qū)號的。因為NTFS文件系統(tǒng)不是管理物理硬盤，而是管理某一個邏輯驅(qū)動器。所以不能用物理硬盤的第1個扇區(qū)作為起始扇區(qū)進行計算，而應(yīng)將NTFS管理的邏輯驅(qū)動器的第1個扇區(qū)作為起始扇區(qū)，這第1個扇區(qū)就是分區(qū)引導(dǎo)記錄所在的扇區(qū)，這是查找BOOT扇區(qū)的原因之二。 下面舉一個實例來說明查找BOOT扇區(qū)的必要性。 先將實例的內(nèi)容介紹一下。假如操作者已經(jīng)找到了文件系統(tǒng)在扇區(qū)中記錄的一個字段值，該字段值記錄的是文件數(shù)據(jù)在扇區(qū)中的存儲地址?，F(xiàn)在需要通過計算，從已得到的字段值中解讀出存儲地址的扇區(qū)號。 下面介紹具體的計算過程。字段值在扇區(qū)中的字節(jié)數(shù)據(jù)是“4C 0302”，因為存儲數(shù)據(jù)時是低字節(jié)在前，高字節(jié)在后，所以寫成十六進制應(yīng)為“02034cH”，換算成十進制是“131916”。現(xiàn)在得到的是文件存儲數(shù)據(jù)的邏輯簇號，需要將簇號乘以每簇占用的扇區(qū)數(shù)，才是文件存儲數(shù)據(jù)的邏輯扇區(qū)號。 實際上到這一步，就需要查找BOOT扇區(qū)了，因為每簇扇區(qū)數(shù)就屬于系統(tǒng)數(shù)據(jù)，是記錄在BOOT扇區(qū)中的。為了簡化敘述的過程，假設(shè)已經(jīng)知道了每簇扇區(qū)數(shù)是4，則存儲文件數(shù)據(jù)的扇區(qū)號是131916×4=527664。 上面計算出的結(jié)果不是一個絕對數(shù)值，而是一個相對數(shù)值，它是相對于邏輯驅(qū)動器的第1個扇區(qū)的?，F(xiàn)在必須查找邏輯驅(qū)動器的第1個扇區(qū)的地址，也就是分區(qū)引導(dǎo)記錄所在的扇區(qū)號。

媒體關(guān)注與評論

這是一本實際工作中非常需要的工具書，保護和搶救數(shù)據(jù)對于每個人來說都非常重要，我很樂意向讀者推薦本書，相信有志的讀者朋友一定能夠從此書中獲得相關(guān)的技術(shù)知識與操作經(jīng)驗?！试葱畔踩夹g(shù)有限責(zé)任公司副總經(jīng)理、技術(shù)總監(jiān) 張彬最難能可貴的是，本書是一本實操性非常強的書，全書都貫穿作者對技術(shù)探索的過程，跟隨著作者探究的步伐，讀者一定能夠分享到作者在對NTFS技術(shù)不斷探索和發(fā)現(xiàn)過程中得到的快樂?！獜┌部萍伎偨?jīng)理 《數(shù)據(jù)安全與編程技術(shù)》、《數(shù)據(jù)恢復(fù)技術(shù)（第二版）》作者 涂彥暉本書對NTFS的扇區(qū)存儲結(jié)構(gòu)分析得比較詳細，特別指出NTFS的原始數(shù)據(jù)以文件形式存于硬盤，而且分析了MFT特有的屬性和作用，在知識面上有新的認識。總體上看，此書在國內(nèi)同類技術(shù)書籍中比較領(lǐng)先，對NTFS文件系統(tǒng)研究比較深入，是針對計算機硬盤數(shù)據(jù)存儲安全工作者的一本重要參考書籍?！虾＜螎u商貿(mào)有限公司計算機管理員 詹勝本書以全新的方式分析了NTFS文件系統(tǒng)的扇區(qū)存儲規(guī)律，對NTFS的很多優(yōu)越性能，都以扇區(qū)存儲的特征為視角進行了詳細分析和探索。本書所提供的工具程序，對扇區(qū)的操作透明、直觀，針對性強，可以為讀者在分析扇區(qū)存儲規(guī)律時提供高效實用的方法和技巧，很容易上手。本書內(nèi)容豐富，有很高的實用價值，是分析和研究NTFS文件系統(tǒng)不可或缺的工具書?！獫鲜屑紟煂W(xué)院副教授級高工 邢人璋

編輯推薦

彥安科技總經(jīng)理涂彥暉、效率源公司技術(shù)總監(jiān)張彬聯(lián)袂推薦揭示微軟未公布的NTFS文件系統(tǒng)扇區(qū)存儲規(guī)律附贈作者自己開發(fā)的、價值數(shù)百元的實用工具程序

名人推薦

本書對NTFS的扇區(qū)存儲結(jié)構(gòu)分析得比較詳細，特別指出NTFS的原始數(shù)據(jù)以文件形式存于硬盤，而且分析了MFT特有的屬性和作用，在知識面上有新的認識。總體上看，此書在國內(nèi)同類技術(shù)書籍中比較領(lǐng)先，對NTFS文件系統(tǒng)研究比較深入，是寫給計算機硬盤數(shù)據(jù)存儲安全工作者的一本重要參考書。 ——上海嘉島商貿(mào)有限公司計算機管理員 詹勝 本書以全新的方式分析了NTFS文件系統(tǒng)的扇區(qū)存儲規(guī)律，對NTFS的很多優(yōu)越性能，都以扇區(qū)存儲的特征為視角進行了詳細分析和探索。本書所提供的工具程序，對扇區(qū)的操作透明、直觀，針對性強，可以為讀者在分析扇區(qū)存儲規(guī)律時提供高效實用的方法和技巧，很容易上手。本書內(nèi)容豐富，有很高的實用價值，是分析和研究NTFS文件系統(tǒng)不可或缺的工具書。 ——濟南市技師學(xué)院副教授級高工 邢人璋

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    NTFS文件系統(tǒng)扇區(qū)存儲探秘 PDF格式下載

---